Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

lunes, 15 de octubre de 2012

BoteAR: una… ¿botnet social? ¿De qué estamos hablando?

En seguridad de la información, hablar de botnet es igual a hablar de acciones maliciosas que se materializan a través de éste recurso delictivo, y que en esencia siempre supone una actitud hostil de parte de quien las administra. Por favor, que mis colegas corrijan o desmientan esto si es que me equivoco, aunque creo que conceptualmente hablando coincidirán conmigo. 

BoteAR (desarrollada en Argentina) que asume un concepto de “social”, supone precisamente lo dicho anteriormente, a pesar que aún no parece materializarse del todo. Intenta ofrecer una botnet convencional pero a modo de “servicio” (crimeware-as-a-service) y administrable vía web. Además, su autor parece adoptar (quizás sin saberlo) el modelo de negocio de los sistemas de afiliados de Europa del Este que propagan malware (infecta y recibe rédito por ello). Hasta aquí nada raro ya que lamentablemente todos los días somos testigos de estas cosas. Pero lo llamativo, es que se escuda bajo el manto de la seguridad en un intento de “fraternizar” con la comunidad.


“Botnet Security: Tome el control de máquinas remotas y controle las acciones del usuario”. Este es el slogan de la aplicación, pero vamos! Hay algo que no entiendo. ¿Es una aplicación de seguridad que te permite mitigar ataques de botnets? Claro que no! Según su autor, sirve para robar información de los usuarios víctimas a través de un troyano. En la siguiente imagen, correspondiente al sitio web del recurso malicioso, se puede leer (en español) sus funcionalidades:



Vamos a poner en medio punto el “modo sarcasmo” para traducir cada cuadro y, en función de ello, afirmar por qué sus acciones son maliciosas y penalmente repudiables: 

1. "Tome el control de máquinas remotas y controle las acciones del usuario": acceder a un sistema sin la debida autorización del responsable o dueño del equipo constituye una acción ilegítima y ofensiva. La conocemos como intrusión no autorizada y en la mayoría de los países del mundo que disponen de una ley de delitos informáticos tipifican estas acciones como punible, sin importar el medio tecnológico mediante el cual se ejecute el ataque. 

2. "El servicio de BoteAR es gratuito y el uso, como así también las responsabilidades del mismo van por cuenta de los usuarios": quiero detenerme un poco más en éste punto porque seguramente muchos van a reflotar el debate de las responsabilidades que impactan sobre los desarrolladores de éste tipo de aplicaciones maliciosas argumentando eso de que “un cuchillo puede ser usado para matar o para cortar pan”… Vamos! No es un acto moral! La moral forma parte del derecho anglosajón y crear artimañas para ser utilizadas de forma maliciosa no es nada moral, y aunque una persona no está obligada a seguir normas morales, sí está obligada a seguir normas penales. El autor posee un “corazón malicioso” que claramente escapa de las normas de conducta que desde el punto de vista legal intentan regular la conducta humana. Y digo bien, conducta humana que no debemos confundir con las acciones de un programa informático. 

3. "…permitirá controlar todas las acciones remotas realizadas en su propia Botnet, pero para lograr establecer una conexión con los zombis usted deberá primero instalar el agente en JavaScript ( Troyano ) en el sitio web deseado…": Por definición, un malware es un programa malicioso, hoy ampliamente usado para robar información bancaria, y un troyano es un malware; por ende, un programa dañino. 

4. "Control remoto de computadoras, Bypass de protecciones remotas, Robo de credenciales, Ataques SQLi, XSS y DoS": Nuevamente, diferentes tipos de ataques que son susceptibles a penas, por lo menos en Argentina de donde es originario el autor. Por ejemplo, robo de credenciales podría encuadrarse en Robo de identidad. 

Si bien por el momento ésta idea no posee difusión ni adeptos, probablemente los consiga en poco tiempo. Pero el autor no duda en “blanquearse” ya que sus datos son públicos. Sin embargo sí intenta parecer “Poncio Pilatos” desligándose de cualquier responsabilidad por el “mal uso” de la “herramienta”. La pregunta de rigor en función de esto es: ¿Qué “buen uso” tiene una botnet. Pero aun así, estimo que quizás aún no tomó conciencia (el autor) del real impacto legal que estas acciones pueden acarrear, así que mejor prevenir, o mejor dicho… advertir, antes de que realmente le roben las credenciales de acceso a la banca online a algún usuario argentino o de otro país en donde exista pena por esta acción, o que un importante sitio corporativo se vea afectado por un ataque de DDoS. 

La comunicación entre los equipos infectados y el C2 de la botnet (comando y control) se realiza a través de un troyano, del tipo backdoor, escrito en JavaScript y detectado por Kaspersky Lab como Backdoor.JS.Agent.c.


La siguiente imagen corresponde a una parte del código de éste agente malicioso con un texto bien claro que no necesita demasiada explicación: son las funciones que permiten interactuar para la materialización de ataques de phishing. Pero recordemos que además de los ataques de phishing está diseñada para, entre otras cosas, controlar remotamente el equipo a través del navegador y ejecutar exploits, incluyendo módulos para exploits 0-Day.


Compartiendo las palabras de un amigo, en verdad, detrás de este tipo de esfuerzo un factor de relevante importancia es la motivación real de los creadores de programas maliciosos porque en definitiva y mucho más allá de las acciones del malware, sabemos que en muchos casos la forma de llegar a las personas, ya sea para vender o para robar, es intentando crear un enfoque menos delictivo y más social. 

** Artículo escrito originalmente para Kaspersky Lab y publicado (en inglés) en:

Ver más